Firefox 57 ถูกออกแพทช์ด่วน ลดการโจมตีจาก Spectre

จากช่องโหว่ที่มีในทุก CPU ในตลาดตอนนี้ ทางแก้ที่ง่ายและรวดเร็วที่สุดก็คือปิดหรือแก้ทำให้ถูกโจมตียากขึ้นในด้านซอฟท์แวร์และระบบปฏิบัติการ ทางทีม Mozilla Security ได้ทดสอบบั๊กนี้เป็นการภายใน แล้วพบว่ามีแนวโน้มที่จะถูกโจมตีได้

โดยช่องโหว่า Spectre สามารถใช้ timing-attack ได้ Mozilla เลยต้องการปัญหาอย่างเร่งด่วนด้วยการแก้ API ที่มีส่วนเกี่ยวข้องกับ high-resolution timer

  1. เพิ่มเวลาของ performance.now() จาก 5μs ไปเป็น 20μs
  2. ปิดการใช้งาน SharedArrayBuffer

ตอนนี้ Firefox 57 ขยับเลขรุ่นเป็น 57.0.4 แล้วจากแพทช์นี้ โดย Web API พวกนี้อาจถูกแก้กลับคืนค่าเดิม/เปิดการใช้งานเหมือนเดิม แต่คงต้องรอให้ศึกษาตัวบั๊กอย่างถ่องแท้ก่อนว่าบั๊กนี้มันทำงานอย่างไร ซึ่งก็คงต้องใช้เวลาอีกสักพักใหญ่เลย

ที่มา – Mozilla Security Blog: Mitigations landing for new class of timing attack

No responses yet

Post a comment

ส่งความคิดเห็น